卡巴斯基提供被CoinVault或Bitcryptor勒索的解密工具,解密金鑰超過14000個

勒索程式(ransomware),是一種惡意軟體,會將本機或網路磁碟的檔案加密,並要求支付贖款以取得解密金鑰,將加密的檔案還原,不然檔案就永遠都不能用了。
卡巴斯基與國外警方合作,9月逮捕了相關勒索程式的作者,也讓卡巴斯基取得駭客伺服器內的解密金鑰。
取得的解密金鑰總計超過14000個,已全部加入卡巴斯基的解密程式的資料庫中,並且提供解密工具。
所以如果有被CoinVault或Bitcryptor勒索的使用者,可以免費下載解密工具並試著將被加密的檔案還原。
但是如果是其他的勒索程式,也可以碰碰運氣,不過這都是事後的解救方法,也不能保證百分一百可以還原。
所以重點還是不要隨意開啟不明的程式及重要檔案要勤於備份,才是上上之策。

解密步驟說明:https://noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf
此PDF為英文檔,大致上是有六個步驟,做法依序是:
步驟1:檢查是否被CoinVault或Bitcryptor勒索,如下圖:


步驟2:下載卡巴斯基防毒試用版清除惡意程式

步驟3:下載解密工具,點「DOWNLOAD」來下載:https://noransom.kaspersky.com/

步驟4:
將解密工具開啟,按下「Start scan」,它會去找一個名為「filelist.cvlst」的檔案,這個檔案是由勒索程式產生的,如果找不到這個檔案,則進入步驟5,否則進入步驟6。

步驟5:
如果找不到「filelist.cvlst」的檔案,則將所有被加密的檔案全部移到一個新的資料夾,並且按下工具的「Change Parameters」,

選擇「Folder with encrypted files」,再重按「Start scan」

這次會出現提示的視窗,選擇「Continue」,再選擇新的資料夾位置


步驟6:
解密工具會將filelist.cvlst或是指定的資料夾內的加密檔案解密,預設的情況下解密工具不會覆蓋被加密的檔案,而是產生另一個解密的檔案,如test.doc會變成test.decryptedKLR.doc,
如果不想保留加密檔案或不想讓工具重新命名檔案,可以選擇「Change Parameters」,並將「Replace encrypted files with decrypted ones」打勾



iThome的報導:
http://www.ithome.com.tw/news/99668